GDPR经典案例之捷克
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;欧盟;捷克;数据保护
本文约1219字,大概需要阅读4分钟。
我们在前几期的推文讨论了欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),本期我们来看一下在GDPR生效后,在捷克依据GDPR执法的两个案例,以及该案导致的结果和启示。
案例一:某网络购物商城数据泄露事件
摘要:
处罚金额:5.8 万欧元
处罚依据:Art. 32 GDPR
处罚时间:2018
案件事实概述:
2014 年12 月31 日至2017 年7 月23日,一家网络购物商城发生数据泄露事件,并于2017 年8 月25 日上报。该网络购物商城的客户用户账号数据库被窃取,导致766421 个电子记录泄露,其中包括735956 个独特的电子邮件地址。泄露的数据类型包括客户的电子邮箱、加密密码、姓名、电话号码。
针对此次事件,捷克数据保护监管机构对该网络购物商城做出5.8 万欧元的处罚决定。
违规分析:
该网络购物商城未采取保障信息安全的适当的技术和组织措施,导致发生数据泄露事件,影响范围大,性质较为严重。
合规启示:
企业应当采取适当的安全保障技术及组织措施,事前采用日志系统等安全保障措施记录数据处理行为,及时预警风险信息。重视日常的系统安全维护。发生数据泄露事件后,应及时采取应对措施,积极消除风险,阻止损害进一步扩大。
案例二:法国巴黎银行个人理财公司违反数据处理基本原则
摘要:
处罚金额:9,704 欧元
处罚依据:Art. 5 (1) c) and e) GDPR
处罚时间:2019/3/21
案件事实概述:
法国巴黎银行个人理财公司向客户提供贷款业务。客户可以选择向该公司申请贷款,或向该公司的零售商申请分期贷款业务。当客户选择后者时,零售商会处理其个人数据,其他情况下,零售商不会保留客户个人数据。此外,信息技术提供商也存在处理个人数据的行为。法国巴黎银行与零售商和服务提供商都签署了数据处理协议。采用电子形式签署协议时,法国巴黎银行在履行法定义务及获得用户明示同意的基础上,收集用户的生物特征签名数据。此外在合同履行完毕后,法国巴黎公司继续存储与客户的通话录音长达10 年。
针对该事件,捷克数据保护监管部门对该公司做出9704 欧元的处罚决定。
违规分析:
1.违反数据最小范围原则。生物签名并非处理目的所必须的条件,客户的身份识别可以采用其他方式足以得到验证,也可以采取签署书面协议,同样具有约束力;
2.违反存储限制原则。法国巴黎银行处理与经常账户申请有关的个人数据的处理时间超过了处理目的所需的期限,且超过了销毁数据所指定的期限。
合规启示:
1.收集个人数据应当遵守最小范围原则,收集的数据应当是充足的、与处理目的相关的并且限于数据处理目的最小必要范围;
2.存储个人数据应当遵循存储限制原则,存储时间不能长于实现个人数据处理目的所必须的时间,不能超出销毁数据所指定的期限。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾